9,513
社区成员
发帖
与我相关
我的任务
分享鬼影病毒
鬼影病毒概念
鬼影[1]病毒是指寄生在磁[2]盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
[编辑本段]鬼影病毒的来源介绍
罕见技术型病毒 源于国外
“鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。XXXXXX工程师说,目前“鬼影”病毒只针对WinXP系统,该病毒尚不能破坏Vista和Windows 7系统。
另据XXXXX研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,XXXXX正在编写针对“鬼影”病毒的专杀工具。
XXXXXX已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。XXXXXX已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
[编辑本段]鬼影病毒的特征
无需寄主 结束所有杀毒软件。 该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒。
颠覆传统 重装系统无法清除。一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),即使用户重装了系统,仍无法将其完全清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统。
安全软件失效 电脑明显变慢。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
求有实际经验的达人破解之法 不胜感激
有人对这个有了解吗 可以详细说说吗
鬼影[1]病毒是指寄生在磁[2]盘主引导记录(MBR),即使格式化重装系统,也无法清除的病毒。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。
[编辑本段]鬼影病毒的来源介绍
罕见技术型病毒 源于国外
“鬼影”病毒是近年来较为罕见的技术型病毒,病毒作者具有高超的编程技巧。因WinXP系统的限制,一般手法改写MBR会被系统判定为非法,这也是引导区病毒接近消亡的重要因素。这种绕过Winxp的安全限制,直接改写MBR的技术主要在国外技术论坛传播,在“鬼影”病毒之前,这一技术少有被黑客实际大规模利用的案例。XXXXXX工程师说,目前“鬼影”病毒只针对WinXP系统,该病毒尚不能破坏Vista和Windows 7系统。
另据XXXXX研究人员透露,在目前国内安全厂商和民间反病毒高手中,能够完整分析“鬼影”病毒的人屈指可数。因病毒寄生于硬盘的主引导记录(MBR),病毒释放的驱动程序能够破坏大多数安全工具和系统辅助工具,在已经中毒的情况下,很难使用现有工具完成病毒清除,XXXXX正在编写针对“鬼影”病毒的专杀工具。
XXXXXX已经升级,可查杀传播“鬼影”病毒的母体文件,避免更多用户受“鬼影”病毒之害,用户只需要在线升级即可获得相应防御能力。XXXXXX已将传播该病毒的恶意网页加入阻止访问的列表,防止更多用户下载这个神秘的“鬼影”病毒。
[编辑本段]鬼影病毒的特征
无需寄主 结束所有杀毒软件。 该病毒一旦进入电脑,就像恶魔一样,隐藏在系统之外,无文件、无系统启动项、无进程模块,比系统运行还早,结束所有杀毒软件,下载av终结者,盗号木马,ie主页修改等大量多品种病毒。
颠覆传统 重装系统无法清除。一般的电脑病毒是Windows系统下的应用程序,在Windows加载之后才运行。而“鬼影”病毒的主要代码是寄生在硬盘的主引导记录(MBR),即使用户重装了系统,仍无法将其完全清除。当系统再次重启时,该病毒会早于操作系统内核先行加载。而当病毒成功运行后,在进程中、系统启动加载项里找不到任何异常,病毒就象“鬼影”一样在中毒电脑上“阴魂不散”。,“鬼影”病毒是国内首个引导区下载者病毒,颠覆了传统病毒的感染特点以及用户处理病毒问题的思维定势,不仅做到了“三无”特性——无文件、无系统启动项、无进程模块,而且即使用户重装了系统,该病毒依然会再次进入用户新系统。
安全软件失效 电脑明显变慢。“鬼影”病毒入侵后,会释放驱动程序改写硬盘MBR(主引导记录),驱动程序在开机过程中攻击众多杀毒软件,令杀毒软件失效,再下载传统的AV终结者木马下载器,最终目的依然是通过传播盗号木马,窃取用户虚拟财产牟利。中毒后,最直观的现象是安全软件无法正常运行,电脑明显变慢,IE主页被改。
求有实际经验的达人破解之法 不胜感激
有人对这个有了解吗 可以详细说说吗
...全文
请发表友善的回复…
发表回复
lucifa3000 2011-01-15
- 打赏
- 举报
有没有病毒样本~~~拿出来 我们研究一下!
FakeTooth 2011-01-14
- 打赏
- 举报
分区工具都有那种修复mbr的功能,例如diskgen等,重写mbr以后病毒就不会在系统启动之前启动。
这样进入系统后,先安装杀毒软件进行全盘扫描,不要先去打开各个分区,那样很可能会再次出发病毒。
这样进入系统后,先安装杀毒软件进行全盘扫描,不要先去打开各个分区,那样很可能会再次出发病毒。
gxgyj 2011-01-14
- 打赏
- 举报
分区工具一般都有重建MBR的功能,重点是不要用硬盘来引导就行了
yeature 2011-01-14
- 打赏
- 举报
金山卫士可以检测和修复
紫郢剑侠 2011-01-14
- 打赏
- 举报
金山卫士可以检测和修复
qihuanfengyun 2011-01-14
- 打赏
- 举报
研究病毒了啊
「已注销」 2011-01-14
- 打赏
- 举报
分区工具到是用过 还真没注意什么修复mbr 的 有时间要补一下了
cilianjian 2011-01-13
- 打赏
- 举报
貌似有些杀软是可以查杀的吧,我的电脑是瑞星+小A病毒,一般的病毒没问题
「已注销」 2011-01-13
- 打赏
- 举报
各位 高人
重写mbr引导??
先备份引导记录,感染了恢复一下.或用kv3000 ??
这两个都不是很明白啊
能不能详细说下啊
重写mbr引导??
先备份引导记录,感染了恢复一下.或用kv3000 ??
这两个都不是很明白啊
能不能详细说下啊
chicken090905 2011-01-12
- 打赏
- 举报
重写mbr引导即可
dianyancao 2011-01-12
- 打赏
- 举报
看雪论坛有源码
xing1954 2011-01-12
- 打赏
- 举报
先备份引导记录,感染了恢复一下.或用kv3000
zara 2011-01-12
- 打赏
- 举报
没这么夸张吧。如果用光盘或 u 盘的 WinPE 进去后,看目标盘内容是正常的,这时,随便个分区软件都能清除了这种病毒吧,也就是重写下 MBR 主引导分区的引导代码而已。如果这时有异常,即病毒对些内容进行了加密或其它形式的转换的话,这才有些麻烦了;要看怎么变换的,如何进行恢复了,往往不能简单地重置 MBR 引导代码,否则可能导致目标盘的数据或文件丢失、损坏。
